漏洞通告│Oracle JDeveloper 远程代码漏洞;Apache Shiro权限绕过漏洞

最新推荐文章于 2023-10-11 20:26:23 发布
最新推荐文章于 2023-10-11 20:26:23 发布
阅读量158 收藏
点赞数
分类专栏: java 文章标签: oracle apache 数据库 spring cloud rabbitmq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bejpse/article/details/126601899
版权

【漏洞通告】Oracle JDeveloper ADF Faces 远程代码执行漏洞

1、基础信息

CVE

CVE-2022-21445

等级

高危

类型

代码执行

2、漏洞详情

Oracle Fusion Middleware是一个全面的中间件产品系列,由甲骨文公司业界领先的SOA和中间件产品组成。

Oracle Fusion Middleware(组件:ADF Faces)的Oracle JDeveloper 12.2.1.3.0和12.2.1.4.0版本存在不安全的反序列化漏洞,未经身份认证的远程攻击者可利用该漏洞实现不可信数据的反序列化,可在受影响的服务器中执行任意代码。

3、影响范围

Oracle Oracle JDeveloper 12.2.1.4.0

Oracle Oracle JDeveloper 12.2.1.3.0

基于ADF Faces 框架开发的程序均可能受此漏洞影响,包括以下:

Oracle Business Intelligence

Oracle Enterprise Manager

Oracle Identity Management

Oracle SOA Suite

Oracle WebCenter Portal

Oracle Application Testing Suite

Oracle Transportation Management

Oracle Access Manager

4、安全建议

Oracle已在2022年4月补丁中修复此漏洞,受影响用户可及时下载更新。

5、参考链接

https://www.oracle.com/security-alerts/cpuapr2022.html

【漏洞通告】Apache Shiro RegExPatternMatcher 权限绕过漏洞

1、漏洞详情

CVE

CVE-2022-32532

等级

高危

类型

权限绕过

2、漏洞详情

2022年6月29日,Apache 官方披露 CVE-2022-32532 Apache Shiro 权限绕过漏洞。当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。

3、影响范围

Apache Shiro < 1.9.1

4、安全建议

目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.9.1及以上版本。http://github.com/apache/shiro/releases/tag/shiro-root-1.9.1。

5、参考链接

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh

https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1

Bejpse
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计之目录遍历漏洞详解
m0_71745754的博客
01-13 5277
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户的文件名,看似正常,但是用户输入的参数不可控制,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序数据库,redis等核心配置文件,因此具有一定的风险;
目录穿越/遍历漏洞及对其防御方法的绕过
2301_77004573的博客
04-30 3955
目录穿越(目录遍历)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。目录穿越不仅可以访问服务器的任何目录,还可以访问服务器任何文件的内容。例如,攻击者通过浏览器访问…/…/…/…/…/…/…/…/…/…/…/…/…/…/etc/passwd(此处较多…/),就可以读取Linux服务器根目录下的etc目录下的passwd文件的内容。
oracle漏洞pdf,【技术分享】Oracle JavaApache Xerces PDF/Docx服务器端拒绝服务漏洞
weixin_39867200的博客
04-04 234
摘要译者:興趣使然的小胃预估稿费:90RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿一、漏洞概要OracleJavaJDK/JRE(1.8.0.131以及更早版本)软件包以及ApacheXerces(2.11.0版)存在两个漏洞,这两个漏洞分别为:OracleJD…预估稿费:90RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿一、漏洞概要Or...
shiro权限绕过
m0_67284865的博客
08-21 888
shiro权限绕过原理解析加漏洞复现!
OA Framework How to Identify Required Oracle JDeveloper Patches
03-27
OA Framework How to Identify Required Oracle JDeveloper Patches For Oracle E-Business Release 12.x or 11i (Doc ID 416708.1)
Oracle JDeveloper 11gR2 Cookbook(PACKT,2012)
10-09
Oracle's Application Development Framework (ADF) for Fusion Web Applications leverages Java EE best practices and proven design patterns to simplify constructing complex web solutions with JDeveloper,...
Oracle12c JDeveloper 安装JAR包和1.8版本JDK.zip
07-26
Oracle12c JDeveloper 安装JAR包和1.8版本JDK 具体安装方法可以看我的博客
simple-book-serch.rar_jdeveloper_oracle_servlet
09-23
基于Oracle JDeveloper 10g IDE的简单用户浏览图书信息,还有添加、修改、删除功能。使用servlet作为请求处理组件,使用JSP页面作为表示组件
Oracle JDeveloper 10g免费开放给开发者.pdf
10-10
Oracle JDeveloper 10g免费开放给开发者.pdf
oracle JDeveloper Studio 11.1.1.0.2初学者入门,带demo。
06-16
oracle JDeveloper Studio 11.1.1.0.2初学者入门。
Apache Shiro权限绕过漏洞
最新发布
hovcfuti的博客
10-11 239
Apache Shiro 1.5.2之前的版本,由于Shiro拦截器和requestURI的匹配流程与Web框架的拦截器的匹配流程有差异,攻击者构造一个特殊的http请求,可以绕过Shiro的认证,未授权访问敏感路径。此漏洞有两种攻击方式,第一种攻击方式适用于Shiro < 1.5.0版本,由于Shiro 1.5.0版本修复补丁考虑不全面,导致补丁绕过,出现了第二种攻击方式,适用于Shiro < 1.5.2版本。/admin/ 构造恶意请求。使用BurpSuite抓取数据包,访问。
Shiro框架漏洞
slismy的博客
09-12 5302
一、Shiro漏洞原理 Apache Shiro框架提供了记住我的功能(RemeberMe),用户登录成功后会生成经过加密并编码的cookie。 cookie的key为RemeberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的 在服务端接收cookie值时,按以下步骤解析: 检索RemeberMe cookie的值 Base 64解码 使用ACE解密(加密密钥硬编码) 进行反序列化操作(未作过滤处理) 在调用反序列化的时候未进行任何过滤,导致
Apache Shiro权限绕过漏洞(CVE-2022-32532)
weixin_54438700的博客
12-15 2731
ShiroApache旗下一个开源的Java安全框架,它具有身份验证、访问控制、数据加密、会话管理等功能,可以用于保护任何应用程序的安全,如移动应用程序、web应用程序等。2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 使用 RegexRequestMatcher 进行权限配置,且正则表达式携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。
Apache Struts 修复 OGNL 技术可能存在的 RCE 缺陷
smellycat000的专栏
12-11 378
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Apache 软件基金会发布 Struts 2 安全更新,修复了一个和 OGNL 技术相关的“很可能存在远程代码执行“缺陷...
Shiro配置跳过权限验证
m0_67393295的博客
08-30 2115
跳过权限验证的原理就是重写**@RequiresPermissions**的实现,然后在配置文件写一个开关,最后通过Aop注入进去就大功告成.首先在spring的配置加入 spring.profiles.active ,同时配置 xfs.shiro.skipShiro为true.因为在开发环境,测试环境,有时候需要跳过shiro权限验证.所以想写个简单的配置跳过shiro权限验证.既然找到了实现的方法,那么注入一个自己实现类就可以跳过shiro权限了.覆写的类.我准备将它替换成log日志....
CVE-2020-1957 shiro权限绕过简单分析
qq_17622203的博客
03-21 6236
白嫖了腾讯云的服务器,用vulhub起的环境 参考: CVE-2020-1957--Shiro未授权访问_Anony吧的博客-CSDN博客_shiro未授权访问 Apache Shiro 认证绕过漏洞(CVE-2020-1957)_维梓梓的博客-CSDN博客 https://paper.seebug.org/1196/ 菜鸟教程 - 学的不仅是技术,更是梦想! 漏洞原因:我们请求的URL在整个项目的传入传递过程。在使用了shiro的项目,是我们请求的URL(URL1),进过shiro权限检验(U
ApacheShiro1.9.1 + SpringBoot2.7.1 + MybatisPlus3.3.1详细教程,快速上手,有配套源码。
张全成的博客
07-26 3808
干货快速上手,有配套教程demo。 ​ 配套源码Demo下载地址(建议先下载,配合教程使用,遇到问题留言):https://download.csdn.net/download/qq_35867875/86262165 ​
漏洞复现 | Apache Shiro 授权绕过漏洞(CVE-2022-32532)
尼泊罗河伯的博客
09-16 4461
Apache Shiro 是一套用于执行认证、授权、加密和会话管理的 Java 安全框架。2022年06月29日 APache 官方发布了一则关于 Apache Shiro 的安全通告Apache Shiro 1.9.1 前的版本 RegExPatternMatcher 在使用带有“.”的正则时,可能会导致权限绕过漏洞源于 RegExPatternMatcher 默认使用的正则匹配的“.”不会匹配换行符,因此可以使用在路径添加换行符来绕过权限匹配。
oracle jdeveloper 组件
09-16
Oracle JDeveloper(简称JDeveloper)是由Oracle公司开发的一款集成开发环境(IDE),用于创建、部署和调试Java EE应用程序。 JDeveloper提供了丰富的组件,用于简化应用程序开发过程。其一些主要组件包括: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值